ODŮVODNĚNÍ I. ZÁVĚREČNÁ ZPRÁVA Z HODNOCENÍ DOPADŮ REGULACE (RIA)

Transkript

1 ODŮVODNĚNÍ III. A. Obecná část I. ZÁVĚREČNÁ ZPRÁVA Z HODNOCENÍ DOPADŮ REGULACE (RIA) 1. Důvod předložení a cíle 1.1 Název Návrh vyhlášky, o významných informačních systémech a jejich určujících kritériích. 1.2 Definice problému Národní bezpečnostní úřad a Ministerstvo vnitra předkládá návrh vyhlášky, o významných informačních systémech a jejich určujících kritériích (dále jen vyhláška ). K vydání vyhlášky jsou zmocněni Národní bezpečnostní úřad a Ministerstvo vnitra, a to v ustanovení 28 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), (dále jen zákon o kybernetické bezpečnosti ), který byl publikován ve Sbírce zákonů dne 29. srpna a účinnosti nabyde dnem 1. ledna Zákon o kybernetické bezpečnosti si klade za cíl zavést do praxe soubor oprávnění a povinností s cílem zvýšit bezpečnost kybernetického prostoru a nastavit mechanismus aktivní spolupráce mezi soukromým sektorem a veřejnou správou za účelem vyšší efektivity řešení kybernetických bezpečnostních incidentů, přičemž nesměřuje k eliminaci všech rizik, která se mohou dotknout všech uživatelů kybernetického prostoru, ale snaží se ochránit tu část infrastruktury, která je pro fungování státu významná a jejíž narušení by vedlo k poškození nebo ohrožení zájmu České republiky. Pro subjekty, na něž dopadá regulace zákona o kybernetické bezpečnosti, jsou stanoveny konkrétní povinnosti, prostřednictvím kterých dojde ke zvýšení ochrany jejich informačních systémů, resp. sítí, které provozují. Tyto povinnosti lze přitom vnímat jako v zásadě minimalistické, avšak dostatečně zajišťující dosažení předpokládaného cíle. Jedná se především o povinnost zavést a provádět bezpečnostní opatření a vést o nich bezpečnostní dokumentaci, povinnost detekovat kybernetické bezpečnostní události a hlásit kybernetické bezpečností incidenty, povinnost provádět opatření vydaná Národním bezpečnostním úřadem a povinnost oznamovat kontaktní údaje Národnímu bezpečnostnímu úřadu nebo provozovateli národního CERT. Všechny tyto povinnosti jsou podle zákona o kybernetické bezpečnosti ukládány správcům kritické informační infrastruktury a správcům významných informačních systémů. Kritická informační infrastruktura bude určena způsobem stanoveným v zákoně č. 240/2000 Sb., krizový zákon. Významné informační systémy má, v souladu s 28 zákona o kybernetické bezpečnosti, stanovit prováděcí právní předpis.

2 Návrh předkládané vyhlášky o významných informačních systémech stanovuje významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona o kybernetické bezpečnosti a naplňuje zmocnění 28 uvedeného zákona. 1.3 Popis existujícího právního stavu v dané oblasti Problematika kybernetické bezpečnosti v České republice je právně upravena výše zmíněným zákonem o kybernetické bezpečnosti. Aktuálně i další platná úprava sice řeší některé aspekty kybernetické bezpečnosti, to však zpravidla formou specifických forem individuální odpovědnosti za informační delikty nebo formou certifikace zabezpečení informačních a komunikačních systémů nakládajících s utajovanými informacemi. Zákon o kybernetické bezpečnosti a jeho prováděcí právní předpisy tak představují první ucelenou tuzemskou právní regulaci této oblasti upravující jak instituty preventivní ochrany kybernetického prostoru, tak i instituty aktivní reakce v případě výskytu kybernetických útoků. Návrh vyhlášky zcela nově určuje významné informační systémy, jejichž definici stanovuje návrh zákona o kybernetické bezpečnosti v 2 písm. d), a jejich určující kritéria. 1.4 Identifikace dotčených subjektů 1. Národní bezpečnostní úřad ústřední správní úřad vykonávající působnost v oblasti kybernetické bezpečnosti; 2. Ministerstvo vnitra jako spolutvůrce předmětné vyhlášky; 3. Orgány veřejné moci správci významných informačních systémů. 1.5 Popis cílového stavu Cílem navrhované vyhlášky je naplnit zmocňovací ustanovení určené pro Národní bezpečnostní úřad a Ministerstvo vnitra v 28 odst. 1 zákona o kybernetické bezpečnosti, které slouží k provedení 6 písm. d) tohoto zákona, tj. především stanovit konkrétní významné informační systémy a jejich určující kritéria, jejichž správci budou podléhat povinnostem podle zákona o kybernetické bezpečnosti. Tímto bude zajištěna vyšší úroveň bezpečnosti informací v těchto informačních systémech. Návrh vyhlášky za tímto účelem stanoví dvojí způsob určení významných informačních systémů. Tím prvým je taxativní výčet významných informačních systémů v příloze č. 1 k této vyhlášce, které zároveň splňují určující kritéria stanovená touto vyhláškou. Druhým způsobem je pak samotné určení významného informačního systému jeho správcem, a to na základě výše zmíněných určujících kritérií. Z oblasti významných informačních systémů jsou přímo vyhláškou vyloučeny informační systémy obcí a informační systémy hlavního města Prahy, pokud jsou používané při výkonu jejich vlastní působnosti. 2

3 Určující kritéria dělí vyhláška na dopadová a oblastní. Dopadová kritéria stanovují nutný následek úplné nebo částečné nefunkčnosti informačního systému způsobené narušením bezpečností informací. Zároveň jsou kvantifikována požadovanou dobou výpadku nebo množstvím nákladů nutných pro jejich odvrácení. Dopadová kritéria jsou rovněž nepřímo navázána na kritéria stanovená v nařízení vlády č. 432/2010 Sb., o prvcích kritické infrastruktury, ve znění pozdějších předpisů (dále jen Nařízení ), kdy následky v nich stanovené nedosáhnou hodnot pro určení prvku kritické infrastruktury podle průřezových kritérií stanovených tímto Nařízením. Oblastní kritéria jsou stanovena v příloze č. 2 k této vyhlášce a mají za cíl určit obecné oblasti činnosti orgánů veřejné moci, na které by se významné informační systémy mohly vázat. I.6 Zhodnocení rizika Neprovedení navrhované úpravy nové vyhlášky by znamenalo nenaplnění zákonného zmocnění. Absence vymezení významných informačních systémů by neumožnila stanovit přesný okruh subjektů, na které spadají povinnosti stanovené v zákoně o kybernetické bezpečnosti, jejichž obsah a rozsah je specifikován v návrhu vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Absence vymezení těchto informačních systémů by tak znamenala nedostatečnou míru jejich zabezpečení, což by vedlo ke zvýšené míře pravděpodobnosti výskytu kybernetických bezpečnostních incidentů v těchto systémech a s tím spjatým dalším negativním následkům materiální i nemateriální povahy. Nulová varianta by tak znamenala rezignaci státu na ochranu té části infrastruktury, která je spravována orgány veřejné moci a jež je pro jeho fungování nezbytná. 2. Návrh variant řešení 2.1 Návrh možných řešení včetně nulové varianty Nulová varianta Nulová varianta vychází z předpokladu zachování současného stavu, tj. nestanovení významných informačních systémů a jejich určujících kritérií. Tato varianta, při níž by nebyla provedena zákonná zmocnění stanovená zákonem o kybernetické bezpečnosti, by znamenala nezajištění adekvátní úrovně bezpečnosti pro významné informační systémy, jakož i nejednotnost při získávání informací o výskytu kybernetických bezpečnostních incidentů a účinnosti opatření vydaných Národním bezpečnostním úřadem k řešení kybernetických bezpečnostních incidentů. 3

4 2.1.2 Varianta I Varianta I odpovídá zmocnění stanovenému zákonem o kybernetické bezpečnosti a s ohledem na tuto zcela novou zákonnou úpravu stanoví významné informační systémy a jejich určující kritéria. Při posuzování možných řešení identifikovaného problému, které by mohly vést ke stanovenému cíli, bylo zvažováno pouze toto řešení, neboť bez jeho provedení není možné řešit identifikované problémy a naplňovat cíle stanovené zákonem o kybernetické bezpečnosti. S ohledem na výše uvedené není možné realizovat tzv. nulovou variantu. 3. Vyhodnocení nákladů a přínosů 3.1 Identifikace nákladů a přínosů Nulová varianta S nulovou variantou nebylo ze shora uvedených důvodů podrobně pracováno. Tato varianta nepočítá s žádnými náklady a rovněž nepředstavuje ani žádné přínosy Varianta I Náklady této varianty lze spatřovat zejména v nepřímých nákladech, které vzniknou správcům určených významných informačních systémů v souvislosti s realizací bezpečnostních opatření podle zákona o kybernetické bezpečnosti v rozsahu stanoveném vyhláškou o kybernetické bezpečnosti a při hlášení kontaktních údajů, které byly obecně vyčísleny u těchto právních předpisů. Určité přímé náklady mohou správcům informačních systémů vzniknout při posuzování, zda jejich informační systém naplňuje určující kritéria podle této vyhlášky; tyto náklady však lze odhadnout jako marginální. Přínosy této varianty lze primárně spatřovat v zajištění vysoké úrovně bezpečnosti významných informačních systémů, jejichž zabezpečení povede k zvýšené míře jejich odolnosti vůči kybernetickým útokům a tím i k eliminaci doprovodných nežádoucích jevů jakou jsou materiální škody a nefunkčnost nebo nedostupnost služeb, které jsou jejich prostřednictvím poskytovány. Zvýšená úroveň rezistence těchto systémů vůči kybernetickým bezpečnostním incidentům s sebou přinese vedle výše uvedených primárních přínosů i další pozitivní dopady, které lze spatřovat zejména ve zvýšení a upevnění dobré pověsti České republiky v oblasti zabezpečení ICT, čímž bezesporu dojde k obecnému zvýšení atraktivity České republiky pro zahraniční a tuzemské investory. Aplikace této varianty bude dále představovat řadu dalších přínosů spočívajících ve zvýšení míry ochrany důvěry občana ve stát a jeho instituce a zvýšení ochrany práva na informační sebeurčení člověka a dalších informačních práv. 4

5 3.2 Náklady Nulová varianta S nulovou variantou nebylo ze shora uvedených důvodů podrobně pracováno. Náklady na zabezpečení informačních systémů před kybernetickými útoky by byly realizovány bez ohledu na zákonnou regulaci nejednotně, což by vedlo k jejich navýšení oproti variantě I. Zvýšené náklady však lze s ohledem na různorodost informačních a komunikačních systémů těžko kvantifikovat Varianta I Předpokládané náklady se budou u této varianty vztahovat zejména na zabezpečení určených významných informačních systémů na základě určovacích kritérií v souvislosti s realizací bezpečnostních opatření podle zákona o kybernetické bezpečnosti v rozsahu stanoveném vyhláškou o kybernetické bezpečnosti. Náklady na zabezpečení významných informačních systémů navrhované varianty lze, na základě proběhlé analýzy zabezpečení informačních a komunikačních systémů spravovaných orgány veřejné moci, odhadnout v řádu mil. Kč. Tyto náklady však nelze konkrétně specifikovat s ohledem na odlišnou úroveň současného zabezpečení informačních systémů. Náklady na zabezpečení informačních systémů jsou správci informačních systémů veřejné správy povinni v souladu se zákonem 365/2000 Sb., o informačních systémech veřejné správy vynakládat již nyní. Lze tak pouze očekávat, že náklady na vybudování technologie ICT budou správci těchto systémů pouze restrukturalizovat s tím, že náklady na zabezpečení těchto systémů budou po určitou dobu pouze zvýšené. 3.3 Přínosy Nulová varianta S nulovou variantou nebylo ze shora uvedených důvodů podrobně pracováno. S ohledem na skutečnost, že nulová varianta by oproti současnému stavu nepřinesla žádnou změnu a ve svém důsledku by znamenala neprovedení zákonného zmocnění ke stanovení významných informačních systémů, nepřinesla by tato varianta žádné přínosy Varianta I Jak již bylo uvedeno výše, přínosy této varianty lze primárně spatřovat v zajištění vysoké úrovně bezpečnosti významných informačních systémů. Zabezpečení těchto systémů by mělo primárně vést ke zvýšení míry jejich odolnosti vůči kybernetickým bezpečnostním incidentům, a tím i k eliminaci negativních dopadů kybernetických útoků jako jsou nejen materiální škody, ale i zásah do nehmotných práv fyzických a právnických osob a nefunkčnost nebo nedostupnost služeb, jejichž poskytování je prostřednictvím těchto systémů zajišťováno. 5

6 Zvýšená úroveň rezistence těchto systémů vůči kybernetickým bezpečnostním incidentům s sebou přinese vedle výše uvedených primárních přínosů i další pozitivní dopady, které lze spatřovat zejména ve zvýšení a upevnění dobré pověsti České republiky v oblasti zabezpečení ICT, čímž bezesporu dojde k obecnému zvýšení atraktivity České republiky pro zahraniční a tuzemské investory. Vedle pozitivních dopadů do ekonomické sféry bude aplikace této varianty rovněž znamenat posílení ochrany základních lidských práv souvisejících s ICT, tj. především posílení práva na informační sebeurčení člověka a dalších informačních práv. Zejména však bude posílena míra ochrany důvěry občana ve stát a jeho instituce. V následující tabulce jsou označeny přínosy, které byly identifikovány pro jednotlivé varianty: Vyhodnocení přínosů variant návrhů regulace Nulová varianta Varianta I. Identifikovaný přínos Zvýšení míry ochrany práva na informační sebeurčení a dalších informačních práv člověka N A Zvýšení míry ochrany důvěry člověka ve stát a jeho instituce N A Zvýšení míry bezpečnosti důležitých společenských funkcionalit (tj. významných informačních systémů) N A Omezení ekonomických a jiných škod jako důsledků kybernetických bezpečnostních incidentů N A Obecné zvýšení atraktivity České republiky pro zahraniční a tuzemské investory N A Zvýšení a upevnění dobré pověsti České republiky v oblasti zabezpečení ICT N A Legenda: A S přínosem lze u dané varianty počítat N Přínos se u dané varianty nepředpokládá 3.4 Vyhodnocení nákladů a přínosů variant Nulová varianta S nulovou variantou nebylo ze shora uvedených důvodů podrobně pracováno. Tato varianta představuje nejednotné náklady při nekoordinovaném zabezpečování informačních systémů a nepřináší žádné přínosy Varianta I Tato varianta sice generuje určité náklady správcům určených významných informačních systémů s následným plněním povinností a zaváděním opatření požadovaných v zákoně o kybernetické bezpečnosti a vyhlášce o kybernetické bezpečnosti, nicméně nezavedení této varianty by vedlo k navýšeným nákladům 6

7 vzniklým při nejednotném zavádění bezpečnostních opatření. Rovněž bude implementací této varianty ve značné míře zabráněno ztrátám, které by jinak vznikly během kybernetických incidentů. Nákladovost u jednotlivých typů subjektů bude dále různorodá s ohledem na již nyní zavedená opatření. Tato varianta tedy, jak vyplývá z výše uvedeného, generuje největší počet přínosů. Primárním přínosem této varianty je již zmiňované zvýšení bezpečnosti významných informačních systémů a míry odolnosti vůči kybernetickým bezpečnostním incidentům, a tím ke snížení anebo přímo k odstranění nežádoucích následků jednotlivých kybernetických útoků, které mohou být značně různorodé. Adekvátní zabezpečení těchto systémů pak dále generuje další pozitivní efekty spočívající v posílení ochrany práv fyzických a právnických osob, zvýšení dobré pověsti České republiky v zahraničí i ke zvýšení důvěry ve stát a veřejné instituce tuzemskými subjekty. V případě, že by tato varianta nebyla realizována, nebylo možné naplnit ustanovení zákona a návrhu vyhlášky o kybernetické bezpečnosti, která vymezují jimi nastavený jednotný rámec pro plnění základních povinností stanovených zákonem o kybernetické bezpečnosti, právě na správě významných informačních systémů. Došlo by tak k nejednotnosti plnění zákonných povinností. Subjekty na něž cílí tato varianta, by pravděpodobně k určitému zabezpečení svých systémů přistoupily, ale nemohly by plnit další zákonné povinnosti v oblasti kybernetické bezpečnosti. 4. Návrh řešení 4.1 Stanovení pořadí variant a výběr nejvhodnějšího řešení Variantou doporučenou k dalšímu řešení je předložený návrh vyhlášky. Zákon o kybernetické bezpečnosti upravuje v České republice doposud právními předpisy neregulovanou oblast a obsahuje několik základních povinností dopadajících na vybrané skupiny osob soukromého práva, jakož i na některé orgány veřejné moci. Vzhledem ke skutečnosti, že určení správců významných informačních systémů, kteří jsou jedněmi ze subjektů, na které se působnost zákona o kybernetické bezpečnosti vztahuje, si vyžaduje podrobnější právní úpravu v souladu se zákonem stanoveným zmocněním, bylo přistoupeno k vypracování této vyhlášky, která stanoví některé významné informační systémy a jejich určující kritéria. 5. Implementace doporučené varianty a vynucování Orgány zodpovědnými za zpracování návrhu vyhlášky jsou Národní bezpečnostní úřad a Ministerstvo vnitra. Národní bezpečnostní úřad bude rovněž odpovědný za implementaci regulace v oblasti kybernetické bezpečnosti a metodickou pomoc při určování významných informačních systémů správci. Implementace a vynucování bude realizováno od nabytí účinnosti vyhlášky a to včetně výkonu kontroly v oblasti kybernetické bezpečnosti a při aplikaci případných 7

8 nápravných opatření. K vynucování bude rovněž docházet při projednávání zjištěných správních deliktů v dané oblasti v rámci správního trestání. 6. Přezkum účinnosti regulace Důkladné hodnocení a pravidelný přezkum účinnosti regulace je u předpisu upravujícího relativně novou zájmovou oblast podléhající navíc relativně rychlému technickému a společenskému vývoji nutným předpokladem jeho efektivního uplatnění. K tomu, aby mohla navrhovaná právní úprava plnit svůj základní účel, je třeba průběžně sledovat, do jaké míry splňují informační systémy určující kritéria stanovená ve vyhlášce. Přezkum účinnosti regulace u navrhované právní úpravy bude spočívat především v kontrole správců významných informačních systémů - Národní bezpečnostní úřad bude prostřednictvím činnosti vládního týmu CERT a Národního centra kybernetické bezpečnosti permanentně sledovat a vyhodnocovat zda určené významné informační systémy naplňují určující kritéria podle této vyhlášky. Dojde-li k situaci vyžadující přehodnocení určení významného informačního systému, bude přistoupeno k adekvátní změně. Národní bezpečnostní úřad bude pravidelně vyhodnocovat strukturu parametrů určujících kritérií a v případě potřeby aktualizace parametrů těchto kritérií bude jako nástroje použito změny předkládané vyhlášky. 7. Konzultace a zdroje dat K vydání vyhlášky jsou Národní bezpečnostní úřad a Ministerstvo vnitra zmocněni ustanovením 28 odst. 1 zákona o kybernetické bezpečnosti. 7.1 Mezirezortní pracovní skupina K naplnění věcného obsahu vyhlášky bylo jednáno v rámci mezirezortní pracovní skupiny, kterou tvořili zástupci Národního bezpečnostního úřadu a Ministerstva vnitra. Nejspornějšími body se během jednání ukázalo stanovení rozsahu významných informačních systémů podle této vyhlášky. Dále pak bylo sporné zavedení kritéria ohrožení nebo poškození dobrého jména v dopadových kritériích, které bylo nakonec na základě jednání vypuštěno. V rámci přílohy č. 1 došlo v průběhu jednání k doplnění původního rozsahu významných informačních systémů, které bylo provedeno na základě celkového seznamu informačních systémů veřejné správy a seznamu významných informačních systémů zjištěných v rámci mapování Národním bezpečnostním úřadem od roku Nejproblematičtější však bylo určení oblastních kritérií v Příloze č. 2. Původní záměr na definování oblastních kritérií podle oblastí působnosti ministerstev a ústředních správních úřadů s využitím agend definovaných v kompetenčním zákonu a ve zvláštních zákonech byl přehodnocen, pro přílišnou rozsáhlost přílohy, nejednotnost konkrétní specifikace agend u stanovených orgánů veřejné moci a na základě podrobné diskuse došlo následně ke konsenzu a byla zvolena obecná podoba kritérií, která určují kritické oblasti napříč 8

9 činností všech orgánů veřejné moci a napříč činností krajů v rámci přenesené působnosti. 7.2 Technologická analýza a zdroje dat Celková evidence důležitých systémů ICT pro fungování státu v kybernetickém prostoru je základem pro jejich efektivní zabezpečení. Vzhledem ke skutečnosti, že doposud neexistovala žádná využitelná evidence, bylo nezbytné, aby byla vytvořena vlastní evidence pro potřeby kybernetické bezpečnosti a zvládání kybernetických bezpečnostních incidentů. Pro vytvoření základního přehledu důležitých informačních a komunikačních systémů, tedy technologií pro fungování státu byla zvolena forma dotazníku rozesílaných na jednotlivé odpovědné subjekty. Tento způsob zjišťování stavu byl vybrán zejména z důvodu snahy minimalizovat finanční a časovou náročnost celého procesu výběru těchto důležitých systémů prováděného jak Národním bezpečnostním úřadem, tak spolupracujícími subjekty. Vlastní realizace celé evidence byla rozdělena do dvou časově navazujících etap. Cílem první etapy pro rok 2012 byla realizace evidence důležitých systémů pod správou veřejnoprávních subjektů a zjištění úrovně jejich základních bezpečnostních parametrů včetně analýzy rizik. Cílem druhé etapy, která proběhla v roce 2013, byla evidence důležitých systémů pod správou osob soukromého práva a zjištění úrovně jejich základních bezpečnostních parametrů včetně analýzy rizik. V lednu 2012 byl rozeslán na 44 subjektů první dotazník kybernetické bezpečnosti, jehož cílem bylo zejména určení celkového rozsahu důležitých systémů s připojením do veřejných sítí. Obsahoval deset základních evidenčních údajů jako je název informačního systému, kontaktní údaje na bezpečnostního manažera a správce informačního systému, připojení do KIVS, apod. Po vyhodnocení prvního dotazníku byl vytvořen základní přehled o cca 730 informačních systémech, které veřejnoprávní subjekty považovaly za důležité pro fungování státu. Tento seznam obsahoval i systémy, které nebyly důležité pro fungování státu, např. informační systémy Myslivecké a rybářské průkazy, Evidence restaurátorů, Evidence knihoven. Z těchto zjištění vycházelo zpřesnění původní množiny důležitých systémů, které bylo zahrnuto v druhém dotazníku kybernetické bezpečnosti, jednalo se o vydefinování kritických a významných systémů vycházejících z krizového zákona a zákona o informačních systémech veřejné správy a vypuštění parametru nutného pro připojení těchto systémů do internetu. V měsíci srpnu 2012 byl rozeslán druhý dotazník kybernetické bezpečnosti, který obsahoval 54 otázek s detailnějším zaměřením na popis vybraných bezpečnostních parametrů. Výsledkem je vytvoření seznamu s celkovým počtem cca 170 důležitých systémů státu, který byl v rámci pracovní skupiny při tvorbě vyhlášky vyhodnocen a jeho výsledkem je seznam významných informačních systémů uvedených v příloze č. 1 k této vyhlášce. 9

10 7.2.1 Shrnutí významných zjištění Velmi pozitivním zjištěním je skutečnost, že metodika norem pro řízení informační bezpečnosti ISO/IEC 27001, 27002, z níž vychází návrh zákona, je již nyní využívána pro řízení informační bezpečnosti u 80% subjektů spravujících důležité informační a komunikační technologie státu, 98% subjektů spravujících důležité informační a komunikační systémy a technologie státu má již zcela nebo částečně zaveden systém evidence a zvládání bezpečnostních incidentů, a že 21% subjektů spravujících důležité informační a komunikační systémy a technologie státu má zavedeno certifikované řízení informační bezpečnosti. Jinak však bylo zjištěno, že zabezpečení informačních systémů, jejichž povaha může být významná, je napříč orgány veřejné moci na velmi různé úrovni. Úprava, která zavede jednotné postupy a procesy jejich zabezpečení v souladu s požadavky zákona o kybernetické bezpečnosti a vyhlášky o kybernetické bezpečnosti, je nutná. Dalším významným zjištěním bylo i to, že informační systémy se budou v souvislosti s elektronizací veřejné správy dynamicky vznikat a vyvíjet. Proto bylo nutné přistoupit i k tomu, aby také jednotliví správci informačních systémů mohli posuzovat vlastní informační systém podle určujících kritérií, a jakmile zjistí, že u něj došlo k naplnění určujících kritérií, určí takový informační systém samostatně jako významný informační systém a z tohoto důvodu bylo nutné určující kritéria také stanovit. Zpracovaná analýza je podkladem, na základě kterého je budováno technologické řešení, postavené na respektování maxima stávajícího technického řešení subjektů podléhajících regulaci s principiálně technologicky neutrálním řešením bezpečnostních opatření vycházejících z mezinárodně platných standardů. 8. Kontakt na zpracovatele RIA Národní bezpečnostní úřad odbor právní a legislativní telefon sekretariát odboru: odboru: pravni@nbu.cz Osoby, které zpracovaly závěrečnou zprávu RIA Mgr. Bc. Hana Valentová Národní bezpečnostní úřad odbor právní a legislativní telefon: h.valentova@nbu.cz II. ZHODNOCENÍ SOULADU NAVRHOVANÉ PRÁVNÍ ÚPRAVY SE ZÁKONEM, K JEHOŽ PROVEDENÍ JE NAVRŽENA Navrhovaná právní úprava je v souladu se zákonem o kybernetické bezpečnosti, k jehož provedení se vydává. Návrh vyhlášky o významných informačních systémech v souladu s požadavky zákona o kybernetické bezpečnosti obsahuje konkretizaci 10

11 významných informačních systémů a jejich určujících kritérií, přičemž se ve všech jednotlivých ustanoveních pohybuje v rámci zákonného zmocnění a tento rámec nepřekračuje. III. ZHODNOCENÍ SOULADU NAVRHOVANÉ ÚPRAVY S PŘEDPISY EVROPSKÉ UNIE, JUDIKATUROU SOUDNÍCH ORGÁNŮ EVROPSKÉ UNIE A OBECNÝMI ZÁSADAMI PRÁVA EVROPSKÉ UNIE Problematika kybernetické bezpečnosti není komplexně řešena právem Evropské unie. Existuje zde sice řada dokumentů upravujících partikulární aspekty kybernetické bezpečnosti, především problematiku služeb elektronických komunikací, oblast kritické infrastruktury a oblast ochrany soukromí v odvětví elektronických komunikací, tyto se však problematiky kybernetické bezpečnosti dotýkají pouze v širších souvislostech a nebyly proto do návrhu zákona o kybernetické bezpečnosti a rovněž tak i do návrhu vyhlášky o významných informačních systémech implementovány. Evropská Komise zadala již v březnu 2012 studii o kybernetické bezpečnosti, která byla publikována v červenci 2012 jako Special Eurobarometer 390/Wave EB77.2 TNS Opinion & Social. V červenci 2012 rovněž Evropská komise zahájila veřejné konzultace k záměru legislativně upravit otázku kybernetické bezpečnosti v Evropské unii. Výsledkem je návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii (dále směrnice ). Zákon o kybernetické bezpečnosti je v zásadě v souladu se základními legislativními tezemi ohledně plánovaného celoevropského systému detekce a ochrany před kybernetickými bezpečnostními incidenty, stanovenými v návrhu této směrnice. Vzhledem k povaze pozměňovacích návrhů Evropského parlamentu, které jsou uvedeny v jeho stanovisku z 1. čtení a k průběhu jednání pracovní skupiny Rady lze očekávat, že současné diskrepance mezi zněním zákona, respektive vyhlášky, a směrnice budou ve finálním znění odstraněny. Národní právní úprava tak bude v plném souladu s touto směrnici. Relevantní částí návrhu předmětné směrnice ve vztahu k předkládané vyhlášce o významných informačních systémech jsou ustanovení upravující osobní působnost směrnice, která se vztahuje i na orgány veřejné správy. Dále pak jsou to ustanovení zahrnující povinnost členských států zajistit, aby jejich orgány veřejné správy a hospodářské subjekty přijaly vhodná technická a organizační opatření k řízení bezpečnosti rizik jejich sítí a informačních systémů. 11

12 IV. ZHODNOCENÍ KORUPČNÍCH RIZIK 1. Přiměřenost Předložený návrh vyhlášky je vyhotoven v intencích zákonného zmocnění a svým rozsahem je přiměřený množině vtahů, které má upravovat. Oblast kybernetické bezpečnosti nebyla doposud regulována právními předpisy, návrh vyhlášky vydávaný k provedení zákona o kybernetické bezpečnosti, tak upravuje zcela novou materii a zpřesňuje zákonné vymezení orgánů a osob uvedených v 3 písm. e) zákona o kybernetické bezpečnosti, avšak v rozsahu nezbytném pro zajištění kybernetické bezpečnosti České republiky. 2. Efektivita Efektivní implementace této vyhlášky bude průběžně vyhodnocována Národním bezpečnostním úřadem, který bude především pravidelně posuzovat, zda-li informační systémy splňují určující kritéria, na základě kterých by měly být určeny za významné. V případě potřeby pak dojde k novelizaci předmětné vyhlášky. Kontrolu a případné vynucování dodržování povinností blíže specifikovaných návrhem vyhlášky bude plošně vykonávat Národní bezpečnostní úřad. 3. Odpovědnost Ústředním správním úřadem, do jehož působnosti spadá oblast kybernetické bezpečnosti, bude Národní bezpečnostní úřad, jehož kompetence a postavení v této oblasti stanoví zákon o kybernetické bezpečnosti. 4. Korupční rizika Návrh vyhlášky zpřesňuje vymezení významných informačních systémů. Tím zároveň konkrétně uvádí, které orgány budou spadat do působnosti zákona o kybernetické bezpečnosti, jako správci významných informačních systémů, tudíž na které orgány dopadnou povinnosti stanovené zákonem o kybernetické bezpečnosti, konkretizované ve vyhlášce o kybernetické bezpečnosti. S ohledem na fakt, že povinnosti budou plněny v rámci vztahů mezi orgány veřejné moci, nepředpokládá se, že by určování významných informačních systémů podle této vyhlášky mohlo vést ke vzniku korupčního prostředí. Navíc, i vzhledem k výši sankcí, které může Národní bezpečnostní úřad uložit za neplnění povinností jím stanovených, se nepředpokládá ve vztahu povinných subjektů vůči Národnímu bezpečnostnímu úřadu vznik prostředí podněcujícího ke korupčnímu jednání. 12

13 B. Zvláštní část K 1 (Předmět úpravy) Předmětem úpravy návrhu vyhlášky je především stanovení významných informačních systémů a jejich určujících kritérií s cílem naplnění zákonného zmocnění zákona o kybernetické bezpečnosti a jejich určení podle tohoto zákona za účelem zajištění nezbytné úrovně ochrany významných informačních systémů. K 2 (Významné informační systémy) Podle zákona o kybernetické bezpečnosti je významným informačním systémem informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Z toho vyplývá, že významným informačním systémů může být pouze ten systém, který je spravován v rámci veřejné sféry. Toto ustanovení vymezuje dvojí způsob určení významných informačních systémů. Tím prvým je jejich výslovné uvedení v příloze č. 1 k této vyhlášce, přičemž podmínkou pro jejich uvedení je zjevné naplnění určujících kritérií podle této vyhlášky. Druhým způsobem určení významného informačního systému je pak posouzení naplnění určujících kritérií, které provádí správce informačního systému, definovaný v zákoně o kybernetické bezpečnosti jako orgán, který určuje účel zpracování informací a podmínky provozování informačního systému. Správci jsou tak například jednotlivá ministerstva nebo jiné ústřední správní úřady. Předmětné ustanovení navíc obsahuje negativní vymezení významných informačních systémů v tom smyslu, že významnými informačními systémy nejsou informační systémy obcí a dále pak informační systémy, které využívá hlavní město Praha při výkonu působnosti obce. Tyto informační systémy jsou z posuzování vyloučeny zejména z toho důvodu, že jejich funkčnost ovlivňuje ve většině případů pouze malý počet osob, popřípadě by vedla ke vzniku menších ztrát. Jejich zařazení mezi významné informační systémy, a s tím související plnění povinností podle zákona o kybernetické bezpečnosti, by tak mohlo představovat nepřiměřenou zátěž, která by neodpovídala možným následkům, k jejichž vzniku by mohlo v důsledku kybernetického útoku na takové informační systémy dojít. K 3 (Určující kritéria) Určující kritéria jsou stanovena na dopadová a oblastní. Dopadová kritéria mají za cíl stanovit zejména míru možných následků, které by mohly vzniknout při narušení bezpečnosti informací daných informačních systémů. Oblastní kritéria pak vymezují obecné oblasti v rámci činnosti orgánu veřejné moci a v rámci výkonu přenesené působnosti krajem, které by mohly záviset na provozování významných informačních systémů, tj. jedná se o oblasti, jejichž zachování je pro chod orgánů veřejné moci 13

14 podstatné. Tyto oblasti spadají do působnosti orgánů veřejné moci, která je zpravidla stanovena zákonem. Naplnění těchto určujících kritéria, mimo informační systémy uvedené v příloze č. 1, které byly určeny přímo, posuzuje správce informačního systému. Tím je podle zákona o kybernetické bezpečnosti orgán, který určuje účel zpracování informací a podmínky provozování informačního systému. K 4 (Dopadová určující kritéria) Cílem dopadových určujících kritérií je stanovení negativního vlivu, který by mohl vzniknout buď úplnou, nebo částečnou nefunkčností informačního systému. Podle písmene a) se tak jedná o ovlivnění fungování nebo hospodaření orgánu veřejné moci, popřípadě služeb nebo informací poskytovaných tímto orgánem, anebo ovlivnění provozu informačních systémů závislých na provozu nefunkčního informačního systému. Tyto podmínky jsou stanoveny alternativně. Pro stanovení dopadového kritéria tak stačí, aby byla splněna pouze jedna z nich. V kumulaci s nimi však musí být splněny kvantifikační podmínky uvedené v závěrečné části písmena a), které se vztahují na omezení výkonu působnosti orgánu veřejné moci nebo jeho výrazné ohrožení. K omezení výkonu orgánu veřejné moci by tak muselo dojít po dobu delší než tři pracovní dny, výrazné ohrožení je pak kvantifikováno jako stav, který lze odvrátit pouze za vynaložení nepřiměřených nákladů na provoz nebo obnovu informačního systému. Tyto kvantifikační podmínky jsou navzájem vůči sobě opět alternativní. Jak alternativa k písmenu a) jsou stanoveny kritéria v písmenu b), která volně navazují na průřezová kritéria kritické infrastruktury podle Nařízení. Tato kritéria jsou mezi sebou navzájem stanovena opět alternativně, tudíž k určení informačního systému jakožto významného stačí opět naplnění i jediného z nich. S výjimkou kritéria podle bodu 1 a 5 jsou tato kritéria kvantifikována číselnými hodnotami, které však nesmějí dosáhnout hodnot průřezových kritérií pro učení prvku kritické infrastruktury podle Nařízení. Kritérium podle bodu 1 pak upravuje možnou provázanost mezi prvky kritické infrastruktury a významnými informačními systémy. Kritérium podle bodu 5 umožňuje určení i těch systémů, které není možné určit podle výše uvedených kritérií, jejichž povaha však ospravedlňuje určení těchto informačních systémů jakožto významných. Toto kritérium zahrnuje rovněž ochranu dobrého jména (např. při útoku na veřejné informační systémy způsobem, který může ohrozit jejich činnost, ale omezení této činnosti nedosáhne hodnot uvedených v ostatních kritériích, může dojít k poškození dobrého jména). K 5 (Oblastní určující kritéria) Oblastní určující kritéria jsou uvedena v Příloze č. 2 k této vyhlášce. 14

15 K 6 (Účinnost) S ohledem na účinnost zákona o kybernetické bezpečnosti, k jehož provedení je předmětná vyhláška vydávána, se navrhuje, aby tato vyhláška nabyla účinnosti stejným dnem jako tento zákon, tj. dnem 1. ledna K Příloze č. 1 (Významné informační systémy) V této příloze je uveden výčet významných informačních systémů, které byly určeny jakožto významné přímo právním předpisem. K určení došlo na základě posouzení seznamů informačních systémů veřejné správy a seznamů získaných v rámci mapování informačních systémů, které prováděl Národní bezpečnostní úřad dotazníkovou formou v letech Informační systémy uvedené v této příloze byly určeny jakožto významné na základě zjevného naplnění určujících kritérií uvedených v této vyhlášce. Vzhledem k tomu, že se jedná o taxativní výčet, může být jejich doplnění nebo pozměnění provedeno pouze změnou právního předpisu. Změna názvu však nemá vliv na zařazení informačního systému do této přílohy, pokud ten i nadále plní odpovídající funkce. K Příloze č. 2 (Oblastní určující kritéria významného informačního systému) Tato příloha obsahuje obecné oblasti činnosti orgánů veřejné moci a kraje při výkonu přenesené působnosti, v rámci kterých se mohou vyskytovat významné informační systémy. Tyto informační systémy jsou tedy určeny v působnosti orgánů veřejné moci, která je stanovena zákonem, přičemž jejich řádné fungování je nezbytné pro činnost orgánů veřejné moci. Rozsah vyhlášky však nezahrnuje samostatnou působnost kraje. Pod bodem I. se v rámci činnosti orgánů veřejné moci tak jedná o oblasti vedení správního řízení, databáze obsahující osobní údaje, hospodaření orgánu veřejné moci, spisovou službu, státní dozor, inspekční činnost, přípravu na krizové stavy, tvorbu právních předpisů, elektronickou poštu, vedení internetových stránek, mezirezortní spolupráci, mezinárodní spolupráci a zadávání veřejných zakázek. Tato kritéria slouží nejenom pro ústřední správní úřady, jejichž působnost je stanovena v zákoně č. 2/1969, o zřízení ministerstev a jiných ústředních správních úřadů, ve znění pozdějších předpisů, ale i pro orgány veřejné moci, jejichž působnost je stanovena zvláštním zákonem (např. Všeobecná zdravotní pojišťovna nebo Česká národní banka). Pod bodem II se v rámci výkonu přenesené působnosti krajem pak jedná o oblasti databází obsahujících osobní údaje, vedení správního řízení, hospodaření orgánu veřejné moci, elektronickou poštu, vedení internetových stránek, přípravu na krizové stavy, státního dozoru, inspekční činnosti a zadávání veřejných zakázek. Tato oblastní kritéria mají sloužit nejen jako kritéria, ale zároveň jako vodítka pro správce informačních systémů při určování významných informačních systémů pod bodem I. 15